Патенты автора Юдин Максим Витальевич (RU)
Изобретение относится к области контроля доступа к объектам операционной системы. Технический результат заключается в уменьшении времени принятия решения о блокировании доступа, перехваченного в режиме ядра, к объекту операционной системы. Способ применения набора списков контроля доступа для контроля приложений заключается в том, что: a. формируют при помощи средства трансляции в режиме пользователя набор из по меньшей мере одного списка контроля доступа для объекта операционной системы на основании по меньшей мере одного правила доступа к упомянутому объекту; b. перехватывают при помощи средства контроля в режиме ядра доступ к объекту операционной системы, для которого был сформирован на этапе ранее набор списков контроля доступа; определяют учетную запись пользователя, используемую для доступа; c. применяют при помощи средства контроля в режиме ядра сформированный набор списков контроля доступа для объекта операционной системы, доступ к которому был перехвачен, к учетной записи пользователя, определенной на этапе ранее; формируют решение, блокировать ли доступ к объекту или нет; d. блокируют при помощи средства контроля в режиме ядра перехваченный на этапе ранее доступ к объекту операционной системы, если на этапе ранее было сформировано решение о блокировании доступа к объекту. 2 н. и 16 з.п. ф-лы, 3 ил.
Изобретение относится к области защиты данных приложений, а именно к системам и способам обнаружения вредоносного приложения путем перехвата доступа к отображаемой пользователю информации. Технический результат настоящего изобретения заключается в повышении безопасности вычислительного устройства пользователя, которое достигается путем обнаружения вредоносного приложения, из которого был запущен процесс, осуществляющий доступ к отображаемой пользователю вычислительного устройства информации. Раскрыт способ обнаружения вредоносного приложения на вычислительном устройстве пользователя, согласно которому: а. перехватывают при помощи средства перехвата доступ процесса к отображаемой пользователю информации для определения по меньшей мере: информации о процессе, осуществляющем доступ к информации, отображаемой пользователю, при этом упомянутая информация включает по меньшей мере идентификатор процесса (PID); области на дисплее вычислительного устройства, на которой отображается пользователю информация и к которой осуществляется доступ процесса; б. анализируют при помощи средства анализа пересечений пересечение определенной на этапе ранее области на дисплее вычислительного устройства с областями элементов графического интерфейса процессов, выполняющихся на вычислительном устройстве, для определения, какие из областей элементов графического интерфейса упомянутых процессов: содержат упомянутую область; содержатся в упомянутой области; частично пересекаются с упомянутой областью; в. вычисляют при помощи средства анализа пересечений рейтинг важности определенной ранее области на дисплее вычислительного устройства на основании того, какие из областей элементов графического интерфейса процессов, выполняющихся на вычислительном устройстве, содержат упомянутую область, содержатся в упомянутой области, и какие из областей элементов графического интерфейса процессов частично пересекаются с упомянутой областью; г. вычисляют при помощи средства обеспечения безопасности рейтинг опасности доступа к отображаемой пользователю информации на основании информации о процессе, осуществляющем доступ к информации, отображаемой пользователю; д. признают при помощи средства обеспечения безопасности приложение, из которого был запущен процесс, доступ которого к отображаемой пользователю вычислительного устройства информации был перехвачен на этапе «а», вредоносным, если комбинация рейтинга опасности доступа к отображаемой пользователю информации и рейтинга важности области превышает пороговое значение. 2 н. и 2 з.п. ф-лы, 3 ил.
Изобретение относится к области защиты данных приложений, а именно к системам и способам блокирования доступа к отображаемой пользователю информации. Техническим результатом является повышение безопасности вычислительного устройства пользователя, которое достигается путем блокирования доступа процесса, к отображаемой пользователю информации. Раскрыт способ блокирования доступа к отображаемой пользователю информации, согласно которому: а. вычисляют при помощи средства мониторинга активности коэффициенты конфиденциальности элементов графического интерфейса процессов, запущенных на вычислительном устройстве; б. перехватывают при помощи средства перехвата доступ процесса к отображаемой пользователю информации для определения по меньшей мере: информации о процессе, осуществляющем доступ к информации, отображаемой пользователю, при этом упомянутая информация включает по меньшей мере идентификатор процесса (PID); области на дисплее вычислительного устройства, на которой отображается пользователю информация и к которой осуществляется доступ процесса, при этом определение области на дисплее вычислительного устройства - по крайней мере определение расположения области на дисплее вычислительного устройства; в. анализируют при помощи средства анализа пересечений пересечение определенной на этапе ранее области на дисплее вычислительного устройства с областями элементов графического интерфейса процессов, выполняющихся на вычислительном устройстве, для определения, какие из областей элементов графического интерфейса упомянутых процессов: содержат упомянутую область; содержатся в упомянутой области; частично пересекаются с упомянутой областью; г. вычисляют при помощи средства анализа пересечений рейтинг важности определенной ранее области на дисплее вычислительного устройства на основании того, какие из областей элементов графического интерфейса процессов, выполняющихся на вычислительном устройстве, содержат упомянутую область, содержатся в упомянутой области, и какие из областей элементов графического интерфейса процессов частично пересекаются с упомянутой областью; д. вычисляют при помощи средства обеспечения безопасности рейтинг опасности доступа к отображаемой пользователю информации на основании информации о процессе, осуществляющем доступ к информации, отображаемой пользователю; е. вычисляют при помощи средства обеспечения безопасности комбинацию рейтинга опасности доступа к отображаемой пользователю информации и рейтинга важности области; ж. блокируют при помощи средства перехвата доступ процесса, который был перехвачен на этапе «б», к отображаемой пользователю информации, если вычисленная на этапе ранее комбинация рейтинга опасности доступа к отображаемой информации и рейтинга важности области, и к которой осуществляется доступ, превышает пороговое значение. 2 н. и 2 з.п. ф-лы, 3 ил.
Изобретение относится к антивирусным технологиям, а более конкретно к способу создания обработчика системных вызовов. Технический результат настоящего изобретения заключается в обеспечении возможности обработки системных вызовов. Способ вызова модифицированного обработчика системных вызовов в операционной системе Windows содержит этапы, на которых: локализуют код оригинального обработчика системных вызовов; создают модифицированный обработчик системных вызовов путем выделения памяти и копирования туда кода оригинального обработчика, при этом дополнительно выполняют следующий шаг: подменяют адрес оригинального обработчика на адрес модифицированного обработчика; перехватывают вызов инструкций процессора, связанных с системным вызовом, с помощью гипервизора; сохраняют значение регистра MSR с помощью гипервизора для возврата его процессу Patch Guard в случае считывания последним значения регистра MSR для корректной работы операционной системы; вызывают модифицированный обработчик системных вызовов для перехвата операций, связанных со снятием снимков экрана. 7 ил.
Изобретение относится к антивирусным технологиям. Техническим результатом является уменьшение времени антивирусной проверки операционной системы за счет исключения процессов из антивирусной проверки. Согласно одному из вариантов реализации предлагается способ исключения процесса из антивирусной проверки, который содержит этапы: а) определяют запрос на доступ к файлу со стороны процесса с помощью средства мониторинга процессов; б) определяют формат файла, к которому осуществляется доступ со стороны упомянутого процесса, с помощью средства обработки событий; в) определяют данные об упомянутом процессе, при этом данные об упомянутом процессе включают список загруженных библиотек в виртуальную память процесса, с помощью средства обработки событий; г) определяют стек вызова доступа к файлу, при этом стек вызова включает отслеживание передачи запроса на доступ к файлу со стороны процесса через другие процессы, с помощью средства обработки событий; д) определяют уровень опасности запроса на доступ к файлу со стороны процесса на основании определенных формата файла, данных об упомянутом процессе, стека вызова доступа к файлу с помощью средства мониторинга процессов; е) исключают процесс из антивирусной проверки с помощью средства антивирусной защиты при условии, что определенный уровень опасности не превышает заданный порог. 6 з.п. ф-лы, 4 ил.
СПОСОБ ВЫЗОВА СИСТЕМНЫХ ФУНКЦИЙ В УСЛОВИЯХ ИСПОЛЬЗОВАНИЯ СРЕДСТВ ЗАЩИТЫ ЯДРА ОПЕРАЦИОННОЙ СИСТЕМЫ // 2585978
Изобретение относится к антивирусным технологиям, а более конкретно к способу создания обработчика системных вызовов. Технический результат заключается в обеспечении вызова системных функций в условиях использования средств защиты ядра операционной системы. Согласно одному из вариантов реализации, предлагается способ вызова системных функций, во время которых выполняют следующие этапы: загружают гипервизор для перехвата обработчика системных вызовов. Модифицируют структуры ядра операционной системы, связанные с вызовами системных функций, при этом указанные структуры ядра операционной системы включают, по меньшей мере: а) обработчик системных вызовов; б) таблицу системных вызовов, в которой заменяют адрес вызова, по меньшей мере, одной системной функции, на адрес вызова другой функции, сохраняя при этом оригинальный адрес вызова системной функции; перехватывают вызов обработчика системных вызовов с помощью гипервизора; вызывают другую функцию по замененному адресу в таблице системных вызовов; вызывают системную функцию по сохраненному оригинальному адресу. 7 ил.
Изобретение относится к контролю приложений. Технический результат заключается в уменьшении времени, в течение которого производится анализ файлов клиентом в рамках контроля приложений. Способ предварительной фильтрации файлов для контроля приложений, в котором перехватывают вызовы функций записи в файл с целью определения данных, находящихся внутри части файла, которые используются для определения характеристик файла; применяют файловый фильтр к части файла; при этом файловый фильтр представляет собой битовую маску вместе с по меньшей мере одной характеристикой файла; при этом под применением файлового фильтра понимают вычисление результатов операции AND, применяемой к части файла и битовой маске; определяют множество характеристик файла, если был определен файловый фильтр, сработавший на части файла; при этом, если фильтр сработал на части файла, то файл обладает характеристикой, описанной в рамках файлового фильтра; исключают файл из проверки, которая проводится в рамках контроля приложений, если множество определенных характеристик файла удовлетворяет критерию фильтрации; при этом критерием фильтрации является эвристическое правило, применяемое к множеству характеристик файла. 2 н. и 2 з.п. ф-лы, 3 ил.
СИСТЕМА И СПОСОБ ДЛЯ СНИЖЕНИЯ НАГРУЗКИ НА ОПЕРАЦИОННУЮ СИСТЕМУ ПРИ РАБОТЕ АНТИВИРУСНОГО ПРИЛОЖЕНИЯ // 2571723
Изобретение относится к области антивирусных систем. Техническим результатом является уменьшение количества требующих анализа событий, связанных с выполнением процесса, при антивирусной проверке. Способ определения требующих анализа событий при антивирусной проверке на основании текущего статуса доверенности процесса включает в себя этапы, на которых: а) отслеживают выполнение процесса в операционной системе с помощью средства мониторинга процессов; б) назначают первоначальный статус процесса с помощью средства мониторинга процессов, при этом статус процесса является доверенным процессом или недоверенным процессом; в) с помощью средства мониторинга процессов в зависимости от текущего статуса процесса устанавливают по крайней мере один тип событий, события которого выявляются в потоке всех событий, для упомянутого процесса, при этом устанавливаемыми типами событий являются, по крайней мере, обязательные или критические события, при этом если упомянутый процесс имеет статус доверенного процесса, то для него устанавливают обязательный тип событий, а если упомянутый процесс имеет статус недоверенного процесса, то для него устанавливают по крайней мере два типа событий, а именно критический тип событий и обязательный тип событий, где: обязательным событием является событие, при выявлении которого необходимо произвести оценку статуса процесса для возможного изменения текущего статуса процесса; критическим событием является событие, при выявлении которого необходимо произвести оценку статуса процесса на основании проведения антивирусной проверки запущенного процесса или файла, из которого был запущен указанный процесс; г) производят анализ каждого выявленного события согласно текущему статусу процесса с помощью критериев оценки, определяющих необходимость изменения статуса процесса, с помощью средства обработки событий, при этом информация о критериях оценки храниться в базе данных критериев оценки; д) выносят решение о необходимости изменения текущего статуса процесса на основании проведенного анализа с помощью средства обработки событий; е) с помощью средства мониторинга процессов производят изменение текущего статуса процесса на основании вынесенного решения и переходят к этапу в). 2 н. и 13 з.п. ф-лы, 5 ил.
